La loi CCPA (California’s Consumer Privacy Act), l'équivalent californien de la RGPD européenne, est entrée en vigueur depuis le début de l’année. Cette nouvelle réglementation largement inspirée de son homologue du vieux continent permet aux utilisateurs résidents de l’État de contraindre les entreprises à leur accorder l’accès à leurs données personnelles. Les utilisateurs peuvent ainsi demander la suppression des informations les concernant et exiger que leurs données ne soient pas revendues à des entreprises tierces. Les géants de la technologie sont obligés de se conformer à cette nouvelle loi. Certaines ont déjà dépensé des millions de dollars pour ce faire, tout en prévoyant d'autres millions pour les prochaines vagues de demandes qui arriveront dans le futur.
Si à priori les consommateurs ont le choix de l'utilisation de leurs données, il n’en est rien dans la réalité. Les entreprises tentent en effet de contourner cette loi par tous les moyens. Un utilisateur a rapporté sur Twitter son cas personnel en affirmant que certaines entreprises utilisent une interface en ligne pour tenter d’influencer leur choix. A sa demande de suppression de ses données personnelles, cet utilisateur a été redirigé plusieurs fois sur des options d’activation et de désactivation pour le dérouter. Certaines marques sont même allées plus loin, en masquant la fonction désormais obligatoire « Ne vendez pas mes informations ». Il s’agit d’un lien qui permet aux utilisateurs de désactiver la possibilité de revente de leurs données personnelles. Pour l’instant, il semble que les autorités ferment les yeux sur ces pratiques, d’autant plus que les entreprises ont jusqu’au mois de juillet pour se conformer totalement à la CCPA.
Face à confusion générale qui prévaut avant la mise en application totale de la loi, les spécialistes restent sceptiques quant à la véritable efficacité de la CCPA à endiguer l’utilisation abusive des données des utilisateurs par les entreprises. Jay Cline, directeur du cabinet spécialisé en confidentialité des données de PwC, pense que le résultat est jusqu’ici assez mitigé. Selon lui, seulement 40 % des 600 entreprises américaines qui doivent se conformer à la nouvelle réglementation disposent d’un portail de données, permettant aux utilisateurs de contrôler leurs informations personnelles. De plus, un petit nombre a étendu cette fonctionnalité au-delà de la Californie, même s’il semble que d’autres États devraient adopter une réglementation semblable prochainement. D’un autre côté, les entreprises technologiques ont aussi du mal à trouver la meilleure façon de vérifier chaque demande de suppression de données sans risquer de les divulguer à des utilisateurs tiers de façon accidentelle. Certains spécialistes en cybersécurité ont par ailleurs réussi à prouver que la CCPA, comme la RGPD, ont des failles que de potentiels pirates peuvent exploiter. James Pavur, chercheur en sécurité, a par exemple réussi à tromper les entreprises technologiques en les empêchant de vérifier les informations qu’il a divulguées. Jean Yang, fondateur d’Akita, a affirmé qu’en tentant de pirater son compte Spotify, un pirate informatique a réussi à acquérir certaines de ses données personnelles. Selon lui, c’est une des mauvaises conséquences de la RGPD qui oblige les entreprises à laisser les utilisateurs à accéder à leurs données.
Selon la CCPA, les entreprises ont l’obligation de vérifier l’identité des utilisateurs qui font la demande de contrôle de leurs données. En général, les échanges entre les deux côtés se font le plus souvent par simple email. Certaines entreprises demandent aux utilisateurs d’envoyer des informations plus personnelles pour prouver qu’il s’agit effectivement de la bonne personne. Verizon requiert par exemple un scan d’un papier d’identité, comme le permis de conduire. Comcast va plus loin en demandant un selfie avant de retourner les données au demandeur. Pour rappel, Comcast a été citée pour avoir utilisé le service de la startup Clearview AI qui a créé un système de surveillance à partir de milliards d’images scrapées sur des plateformes sociales comme Facebook, YouTube et Twitter.
Dans tous les cas, l’adoption de la CCPA a créé une nouvelle génération d’entreprises chargées d’aider les entreprises à gérer les questions réglementaires liées à l’application de la nouvelle loi. D’ailleurs, c’est un marché nouveau qui représente plus de 55 milliards de dollars. Des startups comme Osano et Securiti viennent de voir le jour assez récemment, en réussissant des opérations de levée de fonds. C’est aussi le cas de la startup Mine qui se propose en tant que « courtier » pour faire le lien entre les utilisateurs et les entreprises pour mener à bien les opérations de restitution des données. Le procureur général de Californie, Xavier Becerra, a reconnu que le démarrage de l’application de la loi connaît quelques remous. C’est pour cette raison qu’il veut en affiner les règles dès cette semaine.
À lire aussi : RGPD : La DPC irlandaise ouvre deux enquêtes sur Google et Tinder